Почему я не могу использовать VPC NACL для усиления безопасности?

В своем исследовании AWS я столкнулся со следующим вопросом сценария:

У вас есть веб-приложение для бизнеса, работающее в VPC, состоящее из балансировщика нагрузки приложений (ALB), серверов приложений и базы данных. Ваше веб-приложение должно принимать трафик только с заранее определенных IP-адресов клиентов. Какие два варианта соответствуют этому требованию безопасности? Выберите 2 ответа

Параметры:

A.  Configure web server VPC security groups to allow traffic from your customers’ IPs
B.  Configure your web servers to filter traffic based on the ALB’s "X-forwarded-for" header
C.  Configure your web servers to filter traffic based on the ALB’s "Proxy Protocol" header
D.  Configure ELB security groups to allow traffic from your customers’ IPs and deny all outbound traffic
E.  Configure a VPC NACL to allow web traffic from your customers’ IPs and deny all outbound traffic 

Правильный ответ

B. Configure your web servers to filter traffic based on the ALB’s "X-forwarded-for" header
D. Configure ELB security groups to allow traffic from your customers’ IPs and deny all outbound traffic

Мой вопрос: почему E здесь не принято?

Большое спасибо, любое просветление приветствуется.